HackerNews 编译,转载请注明出处:
与 “Contagious Interview” 活动相关的朝鲜威胁行为者,近期在 npm 注册表中又发布了 67 个恶意软件包。这凸显了他们持续通过软件供应链攻击,对开源生态系统进行破坏的企图。
据 Socket 透露,这些恶意包的下载量已超过 17000 次,其中包含一个此前未被记录的恶意软件加载器,代号为 XORIndex。此次活动是上个月攻击浪潮的扩展,当时攻击者已分发了 35 个 npm 包,这些包中部署了另一个名为 HexEval 的加载器。
“Contagious Interview” 行动呈现出一种 “打地鼠” 式的动态:防御者检测并上报恶意包后,朝鲜威胁行为者会迅速上传新的变种,采用相同、类似或稍作改进的策略。
“Contagious Interview” 是一项长期活动,其目的是诱骗开发者下载并执行某个开源项目,谎称这是一项编码任务。该威胁集群于 2023 年底首次公开披露,也被追踪为 DeceptiveDevelopment、Famous Chollima、Gwisin Gang、Tenacious Pungsan、UNC5342 和 Void Dokkaebi。
利用恶意 npm 包的攻击链相当直接:这些包充当已知的 JavaScript 加载器兼窃取器 BeaverTail 的传播渠道。BeaverTail 随后被用于从网页浏览器和加密货币钱包中提取数据,还会部署一个名为 InvisibleFerret 的 Python 后门。
这两个攻击活动目前并行开展。XORIndex 在短时间内(2025 年 6 月至 7 月)的下载量已超过 9000 次,而 HexEval 则稳步推进,新发现的相关包又获得了超过 8000 次下载。
对这些包的进一步分析显示,加载器在不断演变,从基础原型发展为复杂且更隐蔽的恶意软件。早期版本缺乏混淆和侦察能力,但核心功能保持完好;第二、三代版本则增加了基本的系统侦察功能。
“Contagious Interview” 的威胁行为者将继续丰富其恶意软件组合,轮换新的 npm 维护者别名,重用 HexEval 加载器以及 BeaverTail、InvisibleFerret 等恶意软件家族,并积极部署包括 XORIndex 加载器在内的新变种。
与此同时,Safety 披露,与俄罗斯有关联的网络犯罪分子发布了 10 个 npm 包,这些包旨在通过从远程服务器获取的 PowerShell 有效载荷入侵 Windows 系统,进而交付一种能够从网页浏览器窃取数据、且可能启动加密货币挖矿程序的窃取器。
更令人担忧的是,他们还操纵 npm 的下载量指标,让这些包看似有百万次下载,为其恶意代码赋予虚假的合法性。
消息来源: thehackernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
